ApsaraDB RDS for SQL Serverは、クラウドディスクの暗号化機能を無料で提供します。 この機能は、ApsaraDB RDS for SQL Serverインスタンスを作成するときに有効にできます。 この機能は、ブロックストレージに基づいてRDSインスタンスの各データディスクのデータを暗号化します。 データのセキュリティが確保されます。 この機能を有効にすると、ワークロードは影響を受けず、アプリケーションのコードを変更する必要はありません。
前提条件
クラウドディスクの暗号化機能が有効になっています。 クラウドディスクの暗号化機能は、RDSインスタンスの作成時に有効にできます。 詳細については、「ApsaraDB RDS For SQL Serverインスタンスの作成」をご参照ください。
RDSインスタンスは次の要件を満たしています。
RDSインスタンスは、標準SSD、エンタープライズSSD (ESSD) 、または一般的なESSDを使用します。 サーバーレスRDSインスタンスはサポートされていません。
RDSインスタンスは、汎用、専用、または共有インスタンスファミリーに属しています。
RDSインスタンスが汎用インスタンスファミリーまたは専用インスタンスファミリーに属している場合、デフォルトのサービスカスタマーマスターキー (CMK) またはユーザー定義のCMKを使用して、RDSインスタンスのクラウドディスク暗号化機能を有効にできます。
RDSインスタンスが共有インスタンスファミリーに属している場合、デフォルトのサービスCMKのみを使用して、RDSインスタンスのクラウドディスク暗号化機能を有効にできます。
課金ルール
クラウドディスクの暗号化機能は無料で提供されます。 暗号化されたディスクで実行する読み取りおよび書き込み操作に追加料金を支払う必要はありません。
使用上の注意
Key Management Service (KMS) インスタンスが期限切れの場合、RDSインスタンスのクラウドディスクは使用できなくなります。 KMSインスタンスが正常であることを確認します。 詳細については、「KMSとは何ですか? 」をご参照ください。
クラウドディスクの暗号化に使用されるKMSキーを無効化または削除した場合、RDSインスタンスは期待どおりに実行できません。 この場合、RDSインスタンスはロックされており、アクセスできません。 さらに、RDSインスタンスですべてのO&M操作を実行することはできません。 たとえば、バックアップの実行、インスタンス仕様の変更、RDSインスタンスの複製または再起動、高可用性切り替えの実行、インスタンスパラメーターの変更はできません。 これらの問題を防ぐために、ApsaraDB RDSによって管理されるサービスキーであるデフォルトのサービスCMKを使用することを推奨します。
制限事項
RDSインスタンスでクラウドディスク暗号化機能が有効になっている場合、マイナーエンジンバージョンを更新することはできません。 詳細については、「マイナーエンジンバージョンの更新」をご参照ください。
RDSインスタンスの作成時にクラウドディスクの暗号化機能を有効にする
RDSインスタンスを作成するときに、標準SSD、ESSD、または一般的なESSDストレージタイプを選択します。 詳細については、「ApsaraDB RDS For SQL Serverインスタンスの作成」をご参照ください。
[クラウドディスクの暗号化] を選択し、キーを指定します。
説明キーの作成方法の詳細については、「KMSインスタンスの購入と有効化」をご参照ください。
[インスタンスタイプ] セクションでパラメーターを設定する前に、[クラウドディスク暗号化] を選択する必要があります。
クラウドディスク暗号化機能のステータスとキーの詳細を表示する
[インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
RDSインスタンスの 基本情報 ページで、クラウドディスクを使用するRDSインスタンスのキーを表示します。
説明基本情報 ページにキーが表示されない場合、インスタンスの作成中にRDSインスタンスのクラウドディスク暗号化機能は無効になります。
この機能は、RDSインスタンスを作成した場合にのみ、RDSインスタンスに対して有効にできます。 詳細については、「ApsaraDB RDS For SQL Serverインスタンスの作成」をご参照ください。
KMSコンソールでは、現在のアカウント内のすべてのキーを表示できます。 KMSコンソールの左側のナビゲーションページで、[キー] をクリックします。 表示されるページで、[デフォルトキー] タブをクリックし、表示するキーを見つけます。 [キーの使用] 列の値が [サービスキー] の場合、キーはAlibaba Cloudサービスによって管理されるサービスキーです。 ApsaraDB RDSが管理するサービスキーのエイリアスは
alias/acs/rds
です。 キーが見つからない場合、そのリージョンにサービスキーは作成されていません。 ApsaraDB RDSコンソールでインスタンスの作成中にディスク暗号化機能を有効にし、[Default Service CMK] を選択すると、システムは自動的にサービスキーを作成します。デフォルトサービスCMKのキー仕様は
Aliyun_AES_256
です。 キーローテーション機能はデフォルトで無効になっています。 キーローテーション機能を有効にする場合は、KMSコンソールでキーローテーション機能を購入します。 詳細は、「キーローテーションの設定」をご参照ください。
関連ドキュメント
インスタンスを作成するときに、CreateDBInstance操作を呼び出してクラウドディスク機能を有効にすることができます。 詳細は、「CreateDBInstance」をご参照ください。
DescribeDBInstanceEncryptionKey操作を呼び出して、インスタンスのクラウドディスク暗号化機能が有効になっているかどうか、およびキーの詳細を照会できます。 詳細については、「DescribeDBInstanceEncryptionKey」をご参照ください。